Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 21 (всего у книги 91 страниц)

к о м п ь ю т е р ы к домену. К а к у ю к о м а н д у применить для этого?

A. З а д а т ь а т р и б у т у ms-DS-MachineAccountQuota значение 0.

Б. З а д а т ь а т р и б у т у ms-DS-DefaultQuota значение 0.

B. О т м е н и т ь в г р у п п е П р о ш е д ш и е п р о в е р к у (Authenticated Users) раз-

р е ш е н и е Д о б а в л е н и е р а б о ч и х с т а н ц и й в домен (Add Workstations То

D o m a i n ) .

Г. В домене з а п р е т и т ь группе П р о ш е д ш и е проверку (Authenticated Users)

создавать о б ъ е к т ы к о м п ь ю т е р о в .

3. Требуется п р и с о е д и н и т ь у д а л е н н ы й компьютер к домену. Какую команду

использовать?

A. Dsadd.exe.

Б. Netdom.exe.

B. Dctest.exe.

Г. System.cpl.

8 Зак. 3399

2 0 2 Компьютеры

Занятие 2. Автоматизация создания объектов

компьютеров

Методами, описанными на занятии 1, неудобно создавать десятки, а то и со-

тни учетных записей компьютеров одновременно. Такие команды, как CSVDE,

LDIFDE и Dsadd, а также сценарии VBScript и Windows PowerShell могут им-

портировать и автоматизировать создание объектов компьютеров. Сценарии

также позволяют подготовить объекты компьютеров, то есть внедрить такую

бизнес-логику, как правила именования компьютеров. На этом занятии мы

рассмотрим импорт, автоматизацию и подготовку объектов компьютеров. Эти

команды описаны на занятиях 1, 2 и 3 главы 3.

Изучив материал этого звнятия, вы сможете:

* Импортировать компьютеры с помощью команд CSVDE и LDIFDE.

•f Создавать компьютеры посредством команд Dsadd, Netdom, а также восполь-

зовавшись Windows PowerShell и VBScript.

Продолжительность занятия – около 30 мин,

Импорт компьютеров с помощью команды CSVDE

Команда CSVDE (Comma-Separated Values Data Exchange) описана на занятии 1

главы 3. Инструмент командной строки CSVDE импортирует и экспортирует

объекты Active Directory из текстового файла значений с разделительными

запятыми (файл .csv). Далее приведен базовый синтаксис команды CSVDE:

csvde [-i] (-f " Иня_файла"] [-k]

Параметр -i указывает режим импорта. Без него команда CSVDE по умол-

чанию работает в режиме экспорта. Параметр -/ идентифицирует и м я фай-

ла для импорта или экспорта. Параметр -k удобно применять д л я импорта,

поскольку он указывает команде CSVDE игнорировать ошибки, включая Объект

уже существует (Object Already Exists), Нарушение ограничений (Constraint

Violation) и Атрибут или значение уже существует (Attribute Or Value Already

Exists).

Файлы с разделительными запятыми можно создавать, модифицировать

и открывать с помощью программ Блокнот (Notepad) и Microsoft Office Excel.

Первая строка файла определяет атрибуты на основе LDAP-имен атрибутов

(Lightweight Directory Access Protocol). Каждый объект представлен в одной

строке и должен содержать атрибуты, перечисленные в первой строке файла.

Образец такого файла показан на рис. 5-5.

И .. ь l >•

1 Ui objtdClm n»m» ut'AccourflControl iAMActountNime

' I CM4$rTCriD1.0>4i«Ml,OCWoio.DC^oo(«mpul«r DfS*TC»101 «96 DESKTOPIOSS

1 O^MMTorlROMJ.tmi.C^^firtMg DOrancompatr DtSrTOPKX 4096 DESKTOP1045

« COMPUW UMROJ AOH SIRVIROJS

Рис. 5-5. Открытый в Excel файл .csv, который создает три учетных записи компьютеров

Занятие 2

Автоматизация создания объектов компьютеров 2 0 3

При и м п о р т е к о м п ь ю т е р о в н е о б х о д и м о о б я з а т е л ь н о в к л ю ч и т ь атрибут

userAccountControl и п р и с в о и т ь ему значение 4096. Этот атрибут обеспечивает

возможность п р и с о е д и н е н и я к о м п ь ю т е р а к домену. Кроме того, включите в

файл и м я входа п р е д – W i n d o w s 2000 д л я компьютера, которое представлено

атрибутом sAMAccountName со з н а к о м д о л л а р а (см. рис. 5-5).

К СВЕДЕНИЮ

В главах 3 и 4 рассматривалось применение команды CSVDE для импорта пользо-

вателей и групп. Чтобы получить подробную информацию о команде CSVDE, в том

числе о параметрах и экспорте объектов каталогов, введите команду csvde/? или

выполните поиск в центре справки и поддержки Windows Server 2008 (Windows

Server 2008 Help and Support Center).

Импорт компьютеров при помощи команды LDIFDE

В главе 3 т а к ж е о п и с а н а к о м а н д а Ldifde.exe, которая импортирует данные из

файлов в формате L D I F ( L i g h t w e i g h t Directory Access Protocol Data Interchange

Format). В т е к с т о в ы х ф а й л а х L D I F операции указываются в виде блоков строк,

разделенных п у с т о й строкой. К а ж д а я операция начинается с атрибута DN объ-

екта, к о т о р ы й я в л я е т с я с у б ъ е к т о м операции. Следующая строка, changeType,

указывает т и п о п е р а ц и и : add, modify или delete.

Далее п р и в е д е н п р и м е р ф а й л а LDIF, который может создать две учетные

записи серверов:

dn: CN=SERVER10,ои=Серверы,DC=contoso,DC=com

changetype: add

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: user

objectClass: computer

cn: SERVER10

userAccountControl: 4096

sAMAccountName: SERVER10S

dn: CN=SERVER11,0и=Серверы,DC=contoso,DC=com

changetype: add

objectClass: top

objectClass: person

objectClass: organizationalPerson .

objectClass: user

objectClass: computer

cn: SERVER 11 .

userAccountControl: 4096

sAMAccountName:

• 204 Компьютеры

Глава 5

Базовый синтаксис команды LDIFDE а н а л о г и ч е н с и н т а к с и с у к о м а н д ы

CSVDE:

ldifde [-1] [-f " Иня_файла"] [-k]

По умолчанию команда LDIFDE работает в р е ж и м е экспорта. П а р а м е т р -г

указывает режим импорта. Параметр – / и д е н т и ф и ц и р у е т ф а й л д л я и м п о р т а

или экспорта. Если не указать значение – k , команда LDIFDE о с т а н о в и т вы-

полнение при ошибке. Если же указать параметр -k, к о м а н д а LDIFDE будет

игнорировать возникающие ошибки.

СОВЕТ К ЭКЗАМЕНУ

Помните, что по умолчанию команды CSVDE и LDIFDE работают в режиме экспорта.

Для импорта объектов нужно задействовать параметр – i .

Создание компьютеров посредством команды Dsadd

В предыдущих главах говорилось об использовании к о м а н д ы Dsadd д л я созда-

ния объектов в Active Directory. Чтобы создать объект компьютера, просто вве-

дите команду dsadd computer DNjcoMmiomepa, указав о т л и ч и т е л ь н о е и м я ( D N )

компьютера, например C N = D e s k t o p l 2 3 , O U = D e s k t o p s , D C = c o n t o s o , D C = c o m .

Если отличительное имя компьютера содержит с и м в о л пробела, заключите

все имя в кавычки. Параметр DN_компыотера м о ж е т с о д е р ж а т ь н е с к о л ь к о

отличительных имен новых объектов компьютеров, т а к что к о м а н д у Dsadd

Computers удобно применять для одновременного г е н е р и р о в а н и я м н о ж е с т в а

объектов. Ввести этот параметр можно так:

• поместить в конвейер Dsadd список DN-имен, и з в л е ч е н н ы й д р у г о й коман-

дой, например Dsquery;

• ввести отличительные имена в командную строку, р а з д е л и в их пробелами;

• оставить параметр DA!_компъютера пустым и вводить о т л и ч и т е л ь н ы е име-

на в окно командной строки по отдельности. После ввода к а ж д о г о имени

следует нажимать клавишу Enter. Введя последнее о т л и ч и т е л ь н о е имя,

нажмите комбинацию клавиш Ctrl+Z, а затем Enter.

Команда Dsadd Computer может принимать о п ц и о н а л ь н ы е параметры, сле-

дующие за отличительным именем:

• -samid SAM_umx;

• -desc Описание;

• -loc Размещение.

Создание компьютеров с помощью команды Netdom

Благодаря команде Netdom можно также решать различные задачи безопасности

и управления учетной записью в командной строке. На з а н я т и и 1 мы исполь-

зовали команду Netdom для присоединения компьютера к домену. Эту команду

можно также применять для создания учётной записи компьютера:

netdom add Иня_конпыотера /domain -.Имя_домена [/ оиОН_подразделения]

[/userd -.Пользователь /PasswordD:Пароль]

Занятие 2

Автоматизация создания объектов компьютеров 2 0 5

Эта команда создает учетную запись компьютера с указанным именем в ука-

занном домене, и с п о л ь з у я учетные данные, представленные параметрами UserD

и PasswordD. П а р а м е т р ои назначает создание объекта в подразделении, отличи-

тельное и м я которого у к а з а н о после этого параметра. Если отличительное имя

подразделения не указано, у ч е т н а я з а п и с ь компьютера создается в контейнере

компьютеров по у м о л ч а н и ю . Учетная запись пользователя должна иметь раз-

решение на с о з д а н и е о б ъ е к т о в компьютеров.

Создание компьютеров с использованием

Windows PowerShell

В главе 3 о п и с а н а н о в а я о б о л о ч к а W i n d o w s PowerShell для администрирова-

ния и а в т о м а т и з а ц и и на п л а т ф о р м а х Windows. В этой главе мы рассматриваем

создание п о л ь з о в а т е л е й . О б ъ е к т ы компьютеров, как и объекты пользователей,

можно создавать, в ы п о л н я я с л е д у ю щ и е действия.

1. П о д к л ю ч и т е с ь к к о н т е й н е р у (подразделению), в котором хотите создать

компьютер.

2. В о с п о л ь з о в а в ш и с ь м е т о д о м Create контейнера, создайте компьютер.

3. З а п о л н и т е о б я з а т е л ь н ы е атрибуты.

4. Подтвердите в н е с е н н ы е и з м е н е н и я .

Д л я п о д к л ю ч е н и я к п о д р а з д е л е н и ю в Windows PowerShell введите в ко-

мандную строку P o w e r S h e l l команду:

SobjOU = [ADSI]" LDAP ://ОА/_лодразделешя"

Эта к о м а н д а с о з д а е т о б ъ е к т н у ю ссылку, которая хранится в переменной

SobjOU, п р е д с т а в л я ю щ е й подразделение.

Теперь с п о м о щ ь ю п е р е м е н н о й SobjOU можно инициировать методы под-

разделения. Д л я с о з д а н и я к о м п ь ю т е р а используйте метод Create:

SobjComputer = SobjOU. Create("computer", «(М=СИ_компьютера»)

З а т е м н е о б х о д и м о о т к о н ф и г у р и р о в а т ь два атрибута. Первый из них —

sAMAccountName, п р е д с т а в л я ю щ и й и м я входа пред-Windows 2000 для компью-

тера со з н а к о м д о л л а р а ( $ ) . В т о р ы м будет атрибут userAccountControl компью-

тера, которому следует п р и с в о и т ь значение 4096 (01000 в шестнадцатеричном

формате). Атрибут userAccountControl представляет собой набор битовых флагов.

Этот бит указывает, что д а н н а я учетная запись предназначена для члена домена.

Без него к о м п ь ю т е р не с м о ж е т присоединиться к домену с помощью выбран-

ной учетной записи. Ч т о б ы задать эти два атрибута, введите такую команду:

SobjComputer.Put("sAMAccountName", «Иня_компьютера$»)

$objComputeг.Put("userAccountControl", 4096)

Вы можете о д н о в р е м е н н о задать и другие атрибуты, например description

или info. П о с л е н а с т р о й к и а т р и б у т о в подтвердите изменения посредством

команды:

SobjComputer. S e t l n f o O

• 206 Компьютеры

Глава 5

Импорт компьютеров из базы данных с помощью Windows PowerShell

На сертификационном экзамене 70-640 у вас вряд ли спросят о способах под-

ключения к базе данных и создания компьютеров с помощью W i n d o w s Power-

Shell. Тем не менее наличие подобных знаний обеспечит реальное преимущес-

тво при работе в производственной среде. Предположим, что вы п о л у ч и л и

список компьютеров от поставщика. Вам нужно предварительно р а з м е с т и т ь

учетные записи для этих систем. Сделать это без труда можно, воспользовав-

шись Windows PowerShell. С помощью сценариев также м о ж н о р е а л и з о в а т ь

такую бизнес-логику, как внедрение стандартов именования. В этом подразделе

мы опишем способы решения таких задач.

Командная оболочка Windows PowerShell может подключаться и открывать

такие источники данных, как файлы .csv, которые создаются в программах Excel

и Блокнот (Notepad). Например, вы можете вставить в т а б л и ц у Excel инвен-

тарные номера (asset tag) из списка полученных компьютеров и с о х р а н и т ь эту

таблицу как файл .csv с именем Assets.csv.

Предположим, что вам нужно импортировать э т и к о м п ь ю т е р ы в д о м е н

с соблюдением двух правил. Во-первых, ноутбуки и настольные системы д о л ж -

ны располагаться в отдельных дочерних подразделениях Laptops и D e s k t o p s

подразделения Клиенты. Во-вторых, в соответствии с с о г л а ш е н и я м и об име-

новании, к инвентарному номеру требуется д о б а в л я т ь п р е ф и к с ы L и л и D,

означающие соответственно ноутбуки и настольные системы. Н а п р и м е р , и м я

компьютера, первого в списке на рис. 5-6, – DA849XD. Эти два п р о с т ы х пра-

вила – примеры так называемой логики в контексте п р о г р а м м и р о в а н и я .

W i . A

в

1 ' A l j e t T a g T y p e •.

1,2 IA849XD D e s k t o p

, s | 0 8 2 K E 8

D e s k t o p

,STELW938

L a p t o p

'5 IXKO0GO _L?H isEL.

6 93JXS0 l a p t o p

' 7 J0GJ3 Laptop

Рис. 5-6. Пример источника данных Excel с инвентарными номерами компьютеров

Для импорта компьютеров из файла можно использовать с л е д у ю щ и й сце-

нарий (чтобы упростить последующее описание кода, мы д о б а в и л и н о м е р а

строк):

1. $dataSource=import-csv "Assets.csv"

2. foreach($dataRecord In Sdatasource) {

3. «map variables to data source

4. SAssetTag = SdataRecord.AssetTag

5. $Type = SdataRecord.Type

6. ((determine name

7. SComputerName = SType.substrings, 1) + SAssetTag

8. $sAMAccountName=$ComputerName + "S"

9. «determine OU

Занятие 2

Автоматизация создания объектов компьютеров 2 0 7

10. SstrOUADsPath = "LDAP://0U=" + $Туре + "s" + "

11. ", Ои=Клиенты, DC=contoso, DC=com"

12. «create the computer object

13. $objOU=[ADSI]$strOUADsPath

14. $objComputer=$objOU.Create("computer","CN="+$ComputerName)

15. SobjComputer. Put("sAMAccountName",SsAMAccountName)

16. JobjComputer.Put("userAccountControl".4096)

17. SobJComputer. S e t l n f o O

18. }

С т р о к и 1 3 – 1 7 а н а л о г и ч н ы к о м а н д а м , показанным в предыдущем подраз-

деле, за и с к л ю ч е н и е м того, что в строке 13 вместо жестко кодированного пути

к подразделению и с п о л ь з у е т с я п е р е м е н н а я . Эти строки представляют собой

часть блока кода в с т р о к а х 2 – 1 8 и п о в т о р я ю т с я д л я каждой записи в источ-

нике данных. И с т о ч н и к д а н н ы х определен в строке 1 с помощью того самого

командлета Import-Csv, к о т о р ы й о п и с а н в главе 3. В строке 2 для выполнения

цикла по всем з а п и с я м в и с т о ч н и к е д а н н ы х используется коллекция foreach

(Joreach — это п с е в д о н и м к о м а н д л е т а ForEach-Object).

В строках 4 и 5 два п о л я в к а ж д о й записи назначаются переменным. В стро-

ках 6 – 1 1 в ы п о л н я е т с я б и з н е с – л о г и к а . В строке 7 создается имя компьютера

с и с п о л ь з о в а н и е м п е р в о г о с и м в о л а в п о л е Type (D или L) и прикреплением

AssetTag. В строке 8 создается атрибут sAMAccountName путем добавления знака

доллара к и м е н и компьютера. В строке 10 создается путь к подразделению объ-

екта. О б р а т н а я к а в ы ч к а в к о н ц е с т р о к и 10 представляет собой символ продол-

жения строки и означает, что код продолжает выполняться в строке 11. Поэтому

строки 10 и 11 на с а м о м деле с о с т а в л я ю т одну строку кода. Логика указывает,

что к о м п ь ю т е р ы с т и п о м D e s k t o p п о м е щ а ю т с я в подразделение Desktops.

Как п р о д е м о н с т р и р о в а н о в э т о м сценарии, не так уж и сложно предвари-

тельно п о д г о т о в и т ь с и с т е м у д л я н о в ы х объектов компьютеров. Определите

источники д а н н ы х и бизнес-логику, а сценарии Windows PowerShell сделают

все остальное.

Создание компьютеров посредством VBScript

В V B S c r i p t д л я м а н и п у л и р о в а н и я о б ъ е к т а м и Active Directory используется

тот же и н т е р ф е й с A D S I ( A c t i v e D i r e c t o r y Services Interface), что и в Windows

PowerShell, так что создание к о м п ь ю т е р а происходит аналогично: подключение

к контейнеру, с о з д а н и е объекта, з а п о л н е н и е его атрибутов и подтверждение

изменений. С л е д у ю щ и й код создает к о м п ь ю т е р в домене:

Set objOU = Get0bject("LDAP://D«_ подразделений")

Set objComputer = objOU.Create("computer", «Cti-CN_KombBTepa»)

objComputer. Put "sAMAccountName", " Имй_компыотера$"

objComputer. Put "userAccountControl", 4096

objComputer. Setlnf.o

Этот код очень п о х о ж на к о м а н д ы W i n s d o w s PowerShell в строках 1 3 – 1 7

сценария, п о к а з а н н о г о в п р е д ы д у щ е м подразделе.

• 208 Компьютеры

Глава 5

ПРИМЕЧАНИЕ Использование файлов .csv в VBScript

В предыдущем подразделе мы обсудили, как использовать файл .csv в качестве

источника данных для сценария Windows PowerShell. Сценарии VBScript также

могут загружать и использовать данные из файлов .csv, однако не так элегантно,

как командлет Import-Csv в Windows PowerShell.

Практические занятия. Создание объектов компьютеров

и манипулирование ими

В предложенных далее упражнениях вы автоматизируете и м п о р т и создание

компьютеров в домене contoso.com. Перед выполнением упражнений в этом до-

мене должны быть созданы подразделения первого уровня Клиенты и Серверы.

Кроме того, нужно также установить на машине W i n d o w s PowerShell.

Инструкции по установке Windows PowerShell описаны на п р а к т и ч е с к о м за-

нятии 2 в главе 3.

Упражнение 1. Создание компьютера с помощью команды Dsadd

Команда Dsadd позволяет создать компьютер в окне командной строки. Пре-

имущество Dsadd в том, что ей требуется лишь отличительное и м я компьютера.

Команда автоматически создает атрибуты sAMAccountName и userAccountControl,

В этом упражнении вы создадите компьютер с помощью к о м а н д ы Dsadd.exe.

1. Войдите на машину SERVER01 как администратор.

2. Откройте окно командной строки.

3. Введите указанную далее команду и нажмите к л а в и ш у Enter:

dsadd computer "CN=DESKTOP152,OU=ltaeHTbi,DC=contoso,DC=com"

4. В окне оснастки Active Directory – пользователи и к о м п ь ю т е р ы (Active

Directory Users And Computers) проверьте, создан ли компьютер.

Упражнение 2. Импорт компьютеров командой CSVDE

Чтобы создать множество компьютеров, проще всего и м п о р т и р о в а т ь объекты

компьютеров из такого источника данных, как ф а й л .csv. В этом упражнении

вы используете команду CSVDE для импорта учетных записей компьютеров

из файла .csv.

1. Откройте программу Блокнот (Notepad).

2. В окно программы введите следующие строки. Каждый абзац представляв!

собой отдельную строку. Не включайте символы абзацев в ф а й л блокнота

• ON, objectClass, name, userAccountControl, sAMAccountName

• "CN=DESKT0P1O3, Ои=Клиенты, DC=contoso, DC=com", computer, DESKT0P103, 4096

DESKT0P103$

• "CN=0ESKT0P104, Ои=Клиенты, DC=contoso, DC=com", computer, DESKTDP104, 4096

DESKT0P104$

• "CN=SERVER02,01)=Серверы, DC=contoso, DC=com", computer, SERVER02, 4096

SERVER02S

Занятие 2

Автоматизация создания объектов компьютеров 2 0 9

3. Сохраните ф а й л в папке Документы (Documents) под именем «Computers.csv»,

з а к л ю ч и в его в к а в ы ч к и , ч т о б ы п р о г р а м м а Б л о к н о т не добавила расши-

рение .txt.

4. О т к р о й т е окно к о м а н д н о й строки.

5. Введите с л е д у ю щ у ю к о м а н д у и н а ж м и т е к л а в и ш у Enter:

csvde -i -f "%userprofile%documentscomputers.csv"

6. В оснастке Active Directory – пользователи и компьютеры (Active Directory

Users And C o m p u t e r s ) проверьте, созданы ли объекты компьютеров.

У п р а ж н е н и е 3. И м п о р т к о м п ь ю т е р о в из ф а й л а LDIF

Ф а й л ы L D I F не т а к ш и р о к о и с п о л ь з у ю т с я администраторами, как файлы .csv,

но эти м о щ н ы е ф а й л ы д о в о л ь н о легко создавать. В этом упражнении вы созда-

дите ф а й л L D I F и и м п о р т и р у е т е его с п о м о щ ь ю команды Ldifde.exe.

1. О т к р о й т е п р о г р а м м у Б л о к н о т ( N o t e p a d ) .

2. В окно п р о г р а м м ы в в е д и т е с л е д у ю щ и й код и не забудьте добавить пустую

строку м е ж д у д в у м я о п е р а ц и я м и ( п е р е д строкой dn д л я SERVER11):

dn: CN=SERVER10,ои=Серверы,DC=contoso,DC=com

changetype: add

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: user

objectClass: computer

cn: SERVER10

userAccountControl: 4096

sAMAccountName: SERVER10S

dn: CN= SERVER11,0U=CepBepbi,DC=contoso,DC=com

changetype: add

objectClass: top

objectClass: person

objectClass.: organizationalPerson

objectClass: user

objectClass: computer

cn: SERVER11 userAccountControl: 4096

sAMAccountName: SERVER11$

3 . С о х р а н и т е э т о т ф а й л в п а п к е Д о к у м е н т ы ( D o c u m e n t s ) под и м е н е м

«Computers.Idf», з а к л ю ч и в его в кавычки, чтобы программа Блокнот не до-

б а в и л а р а с ш и р е н и е .txt.

4. О т к р о й т е окно к о м а н д н о й строки.

5. Введите с л е д у ю щ у ю к о м а н д у и н а ж м и т е к л а в и ш у Enter:

Idifde – i – f "%userprofile%documentscomputers.ldf"

6. Откройте оснастку Active D i r e c t o r y – пользователи и компьютеры (Active

Directory Users And C o m p u t e r s ) и проверьте, созданы ли объекты компью-

теров.

• 210 Компьютеры

Глава 5

Упражнение 4. Создание компьютера с применением Windows PowerShell

Оболочка Windows PowerShell позволяет использовать интерфейс A D S I для

создания объектов Active Directory и манипулирования ими. В этом упражне-

нии вы создадите компьютер с помощью Windows PowerShell.

1. Откройте Windows PowerShell.

2. Введите следующие команды, нажимая клавишу Enter после каждой:

SobjOU = [ADSI ] "LDAP: //ои=Клиенты, DC=contoso, DC=com"

SobjComputer = SobjOU. CreateC'computer", "CN=DESKT0P154")

SobjComputer. PutC'sAHAccountName", "DESKT0P154S")

SobjComputer.Put("userAccountControl", 4096)

SobjComputer.Setlnfof) ,

3. Откройте оснастку Active Directory – пользователи и компьютеры (Active

Directory Users And Computers) и проверьте, создан ли объект компьютера

DESKTOP154 в подразделении Клиенты.

Упражнение 5. Создание компьютера с помощью VBScript

Компьютер можно создать и с помощью VBScript. В этом у п р а ж н е н и и вы со-

здадите компьютер, написав и выполнив сценарий VBScript.

1. Откроите программу Блокнот (Notepad).

2. В окно программы введите следующий код:

Set objOU = GetObject( "LDAP: //ои=Клиенты, DC=contoso, DC=com")

Set objComputer = objOU.CreateC'computer","CN=DESKT0P155")

objComputer.Put "sAMAccountName", " DESKT0P155S"

objComputer.Put "userAccountControl", 4096

objComputer. Setlnfo

3. Сохраните этот файл в папке Д о к у м е н т ы ( D o c u m e n t s ) п о д . и м е н е м

«CreateComputer.vbs», заключив его в кавычки, чтобы программа Б л о к н о т

не добавила расширение .txt.

4. Откройте окно командной строки и введите следующую, команду:

cscript "%userprofile%documentscreatecomputer.vbs"

5. Откройте оснастку Active Directory – пользователи и к о м п ь ю т е р ы (Active

Directory Users And Computers) и проверьте, создан ли объект компьютера.

Резюме

• Команда CSVDE служит для импорта компьютеров из т е к с т о в ы х ф а й л о в

(с разделительными запятыми), которые можно редактировать с помощью

программ Блокнот (Notepad) и Excel.

• Команда LDIFDE используется для импорта ф а й л о в LDIF, содержащих

операции добавления компьютеров.

• Компьютер можно добавить в домен с помощью одной команды Dsadd.

Занятие 3

Поддержка объектов и учетных записей компьютеров

2 1 1

• С ц е н а р и и V B S c r i p t и W i n d o w s PowerShell могут добавлять компьютеры

посредством и н т е р ф е й с а A D S I .

Закрепление материала

Следующие вопросы м о ж н о использовать д л я проверки знаний, полученных

на з а н я т и и 2. Эти в о п р о с ы есть и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-

вилен или неверен, вы найдете в разделе «Ответы» в конце книги. •

1 . В а ш м е н е д ж е р п о п р о с и л с о з д а т ь у ч е т н у ю з а п и с ь д л я к о м п ь ю т е р а

D E S K T O P 2 3 4 . К а к о е из с л е д у ю щ и х средств позволяет сделать это с по-

мощью одной о п е р а ц и и ?

A. CSVDE.

Б. LDIFDE.

B. Dsadd.

Г. W i n d o w s PowerShell.

Д. V B S c r i p t .

2. П о с т а в щ и к о б о р у д о в а н и я п е р е с л а л вам т а б л и ц у Excel с инвентарными

н о м е р а м и к о м п ь ю т е р о в , к о т о р ы е будут доставлены на следующей неделе.

Вы хотите з а р а н е е создать о б ъ е к т ы д л я этих компьютеров. В соответствии

с п р а в и л а м и и м е н о в а н и я в качестве имен компьютеров нужно указать их

инвентарные номера. Какое из следующих средств можно использовать для

импорта э т и х к о м п ь ю т е р о в ?

A. CSVDE.

Б. LDIFDE.

B. Dsadd.

Г. W i n d o w s P o w e r S h e l l .

Д. V B S c r i p t .

Занятие 3. Поддержка объектов и учетных записей

компьютеров

Учетная з а п и с ь к о м п ь ю т е р а н а ч и н а е т свой ж и з н е н н ы й ц и к л при создании

и присоединении к о м п ь ю т е р а к домену. В ежедневные задачи администратора

входит настройка свойств компьютера, перемещение его между подразделени-

ями, у п р а в л е н и е им, п е р е и м е н о в а н и е , смена пароля, отключение, включение

и, в конечном счете, у д а л е н и е объекта компьютера. На этом з а н я т и и вы ближе

познакомитесь со с в о й с т в а м и к о м п ь ю т е р о в и процедурами, используемыми

для а д м и н и с т р и р о в а н и я к о м п ь ю т е р о в в домене. •

212 Компьютеры

Глава 5

Изучив материал этого занятия, вы сможете:

У Настраивать свойства компьютера Active Directory.

S Перемещать компьютер из одного подразделения в другое.

/ Переименовывать компьютер.

/ Отключать и включать учетные записи компьютеров.

/ Сбрасывать безопасный канал компьютера домена.

У Решать задачи администрирования с помощью оснастки Active Directory —

пользователи и компьютеры (Active Directory Users And Computers), инстру-

ментов командной строки, VBScript и Windows PowerShell.

Продолжительность занятия – около 45 мин.

Настройка свойств компьютеров

При создании объекта компьютера необходимо отконфигурировать л и ш ь самые

важные атрибуты, включая имя компьютера и делегирование п р а в а присоеди-

нения компьютера к домену. Компьютеры имеют несколько свойств, которые не

отображаются при создании объекта. Эти свойства следует отконфигурировать

при предварительном размещении учетной записи компьютера.

Откройте диалоговое окно Свойства (Properties) объекта, чтобы у к а з а т ь

его расположение и описание, отконфигурировать членство в группах и разре-

шения доступа к сети, а также привязать компьютер к объекту пользователя,

для которого предназначен этот компьютер.

Несколько классов объектов в Active D i r e c t o r y п о д д е р ж и в а ю т а т р и б у т

managedBy, который отображается на вкладке Управляется ( M a n a g e d By). Этот

связанный атрибут создает перекрестную ссылку на объект пользователя. Все

остальные свойства, включая адреса и номера т е л е ф о н о в , и з в л е к а ю т с я не-

посредственно из объекта пользователя. Они не х р а н я т с я в с а м о м объекте

компьютера.

На вкладке Член групп (Member Of) диалогового окна С в о й с т в а ( P r o p e r -

ties) компьютера вы можете добавить компьютер в группы. Возможность управ-

ления компьютерами в группах играет важную роль и часто недооценивается

администраторами Active Directory. Группу, к которой п р и н а д л е ж а т компью-

теры, можно использовать для назначения им разрешений доступа к ресурсам

или фильтрации области действия объектов групповой политики.

Как и в случае с пользователями и группами, вы можете выбрать несколько

объектов компьютеров одновременно и точно так же одновременно у п р а в л я т ь

свойствами всех выбранных компьютеров.

Настройка атрибутов компьютера командой Dsmod

Команда Dsmod, описанная в главах 3 и 4, может модифицировать л и ш ь атрибу-

ты описания description и размещения location. В ней используется следующий

синтаксис:

dsmod computer " ОИ_котьотера" [-desc Описание] [-loc Размещение] _____

Занятие 3

Поддержка объектов и учетных записей компьютеров 213

Настройка атрибутов компьютера с помощью Windows PowerShell и VBScript

В Windows PowerShell и VBScript изменение атрибутов компьютера произво-

дится в три шага.

1. Подключитесь к компьютеру посредством интерфейса ADSI и атрибута

aDSPath компьютера в формате "LDAP:/ /Отличительное имя компьютера".

2. Воспользовавшись методом Put объекта компьютера, укажите однозначные

атрибуты.

3. Подтвердите изменения объекта с помощью метода Setlnfo.

Далее приведен пример команд Windows PowerShell:

SobjComputer = [ADSI]"LDAP://D«_xOMnb«repa"

SobjComputer.Put {"СВОЙСТВО", значение)

SobjComputer. S e t l n f o O

В VBScript этот код выглядит так:

Set objComputer = GetObject("LDAP://0«_raMnborepa")

objComputer.Put «свойство»,

значение objComputer. Setlnfo

Задаваемое текстовое значение в обоих кодах следует заключить в кавычки.

Перемещение компьютера

Многие организации имеют предостаточно подразделений объектов. Например,

некоторые домены содержат подразделения компьютеров на основе географи-

ческих сайтов (см. рис. 5-2). Если в вашей организации есть несколько подраз-

делений для компьютеров, вероятно, однажды вам потребуется переместить

компьютер из одного подразделения в другое.

В оснастке Active Directory – пользователи и компьютеры (Active Directory

Users And Computers) компьютер можно переместить путем перетаскивания

или с помощью команды Переместить (Move) контекстного меню объекта

компьютера.

Для перемещения объекта в Active Directory нужны соответствующие раз-

решения. Разрешения по умолчанию позволяют операторам учета (Account

Operators) перемещать объекты компьютеров между контейнерами, включая

контейнер Computers и все подразделения, кроме Domain Controllers. Админис-

траторы, в том числе администраторы домена (Domain Admins) и администра-

торы предприятия (Enterprise Admins), могут перемещать объекты компьюте-

ров между всеми контейнерами, включая контейнер Computers, подразделение

Domain Controllers и другие подразделения. Конкретную задачу перемещения

объекта в Active Directory нельзя делегировать. Право перемещения компью-

теров определяется правом удалить объект в исходном контейнере и создать

его в конечном контейнере. Но на самом деле при перемещении объекта не

происходит его удаление и воссоздание, а лишь оцениваются разрешения,

позволяющие перемещать.

Команда Dsmove позволяет переместить объект компьютера и любой другой

объект. Приведем синтаксис этой команды:

dsmove ОН_о6ъекта [-newname Новое_имя] [-newparent ОЫ_родительского_контейнера]